V dubnu se účastníte dalšího ročníku odborného právního kongresu Právní prostor 2018. Na co se v rámci Vašeho příspěvku mohou účastníci kongresu těšit?
Hodně času jsme s kolegy v PIERSTONE za poslední měsíce strávili na projektech souvisejících s ochranou soukromí a kybernetické bezpečnosti, tak určitě zmíním poslední vývoj v těchto oblastech. Ale nejdůležitější změnou v regulaci digitální ekonomiky bude letos nařízení ePrivacy, takže chci hovořit i o dopadech tohoto na řízení. Možná zmíním něco z nových právních témat, kterými se nyní zabýváme. Většina z nich souvisí s blockchainem a umělou inteligencí.
V souvislosti s ochranou osobních údajů je v posledních měsících nejdiskutovanějším tématem nové nařízení GDPR. O novinkách, které přináší, již bylo sice řečeno mnoho, ale mohla byste nám přesto přiblížit jeho základní aspekty?
GDPR vychází z předpokladu, že vývoj technologií by postupně zcela smetl ze stolu soukromou sféru jednotlivce a umožnil orgánům veřejné moci i soukromým společnostem s vysokou mírou přesnosti monitorovat, analyzovat a dokonce i předvídat libovolnou oblast osobního či profesního života jednotlivců. GDPR tak v jistém smyslu staví určitou bariéru rozvoji technologií a snaží se vytvořit jakousi ochranu kolem každého jednotlivce, za kterou technologie nesmějí. Významně mu v tom pravděpodobně přispěchá na pomoc i připravované nařízení ePrivacy.
Bude mít GDPR v praxi pouze pozitivní dopad?
Málokterý lidský výtvor má pouze pozitivní dopad. Správnější otázka je, zda pozitivní dopady převáží nad negativními. Pokud pomineme krátkodobé dopady, tak na miskách vah proti sobě stojí důležité hodnoty – humanistická tradice evropského kontinentu založená na nedotknutelnosti lidských práv na straně jedné a konkurenceschopnost a místo Evropy v nově vznikajícím digitálním světě na straně druhé. První zkušenosti ukazují, že zbytek světa GDPR nezavrhl jako další absurdní nápad evropských regulátorů, ale začíná ho akceptovat jako nový globální standard. Takže myslím, že v první bitvě o přijetí zbytkem planety si GDPR vede zatím celkem dobře.
Jakým způsobem se novinky dotknou malých a středních korporací? Jaké povinnosti z GDPR pro tyto podnikatele plynou?
Velmi záleží, v jakém oboru tyto podniky působí. Pokud jde o technologické společnosti, tak lze očekávat dopad na produkty. U ostatních společností GDPR spíše vyžaduje, aby si udělaly pořádek v některých procesech a přehodnotily svůj stávající přístup k zabezpečení IT systémů.
Nebudou mít v rámci zavedení nezbytných opatření v souvislosti s nařízením problémy právě tyto malé a střední podniky? Právě ty často postrádají specializované odborníky, takže v praxi by to mohlo činit potíže.
Ano, dopad GDPR na malé a střední podniky je často disproporční. Je to důsledek problematických jednání při přípravě GDPR, kdy se nepodařilo najít žádné spolehlivé kritérium, jak odlišit „neškodné“ společnosti od těch, které zaslouží přísnější regulaci. Je to proto, že i malá společnost může zpracovávat velké množství údajů a aplikovat na ně inovativní technologie. Proto GDPR neobsahuje téměř žádné jednoznačné de minimis kritérium.
Bude tedy mít GDPR negativní dopad například i z hlediska zvýšení nákladů s ním spojených?
Ano, zavedení GDPR spolu nese určité náklady, ať už finanční nebo v podobě lidských zdrojů. Z hlediska důvěry malých a středních podniků v právní prostředí je nešťastné, že GDPR přichází krátce po EET. U řady podnikatelů to vyvolává dojem, že stát je v podnikání nejen nepodporuje, ale vytváří jim řadu překážek. Na druhou stranu obě regulace přišly v období, kdy se české ekonomice velmi daří. V době ekonomické krize by podobné regulační zásahy mohly být ze strany podnikatelů velmi obtížně akceptovatelné.
Jaká data tyto korporace nejčastěji zpracovávají a jaký je nejčastější způsob jejich získávání?
Většina malých a středních podniků mimo technologický sektor zpracovává data svých zákazníků, marketingová data potenciálních zákazníků (CRM databáze), data zaměstnanců a případně dodavatelů nebo návštěvníků objektu (kamerové systémy). Podniky v technologickém sektoru, ale např. i personální či marketingové agentury, navíc zpracovávají data v rámci svých klíčových produktů.
Co z hlediska GDPR hrozí za porušení zakotvených povinností?
GDPR proslulo vysokými peněžitými pokutami – za některá porušení až do 20 miliónů EUR, případně 4 % celosvětového obratu. Nicméně GDPR dává možnost dozorovému orgánu, Úřadu pro ochranu osobních údajů, namísto pokuty v odůvodněných případech např. upozornit podnik na porušení GDPR, udělit napomenutí, nařídit, aby podnik uvedl zpracování údajů do souladu s GDPR. Úřad pro ochranu osobních údajů je nyní ve fázi přípravy na GDPR podnikům velmi nápomocen, zejména prostřednictvím svého odboru konzultačních agend. Proto lze očekávat, že při drobných porušeních GDPR plynoucích z výkladových nejasností bude Úřad u malých a středních podniků zpočátku preferovat tyto typy sankcí před ukládáním peněžitých pokut.
Diskuze k článku ()